Die NIS-2-Richtlinie (EU 2022/2555) ist die umfassendste europäische Cybersicherheitsregulierung aller Zeiten. Mit der Umsetzung in deutsches Recht durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) werden tausende Unternehmen in Deutschland erstmals regulatorischen Cybersicherheitspflichten unterworfen — mit drakonischen Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für Unternehmen in Energietechnik, Anlagenbau und Industrieservice ist die Betroffenheit besonders wahrscheinlich. NovoCert unterstützt Sie bei der Betroffenheitsprüfung, der Pflichtenumsetzung und der Integration in Ihr bestehendes Managementsystem.
Was regelt die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ersetzt die ursprüngliche NIS-Richtlinie von 2016 und weitet den Anwendungsbereich drastisch aus. Während die NIS-1 in Deutschland nur etwa 2.000 Unternehmen betraf, werden es unter NIS-2 voraussichtlich 29.000 bis 40.000 Unternehmen.
Betroffene Sektoren und Schwellenwerte
Die Richtlinie unterscheidet zwischen Sektoren mit hoher Kritikalität (Anhang I) und sonstigen kritischen Sektoren (Anhang II). Zu den hochkritischen Sektoren zählen: Energie (einschließlich Strom, Fernwärme, Öl, Gas), Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienste, öffentliche Verwaltung und Weltraum. Sonstige kritische Sektoren umfassen: Post- und Kurierdienste, Abfallbewirtschaftung, Herstellung und Vertrieb von Chemikalien, Verarbeitendes Gewerbe (einschließlich Maschinenbau, Elektrotechnik, Fahrzeugbau), Lebensmittel und digitale Anbieter.
Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz in diesen Sektoren. Unternehmen mit mehr als 250 Mitarbeitern oder 50 Mio. Euro Umsatz gelten als wesentliche Einrichtungen mit strengeren Pflichten; kleinere betroffene Unternehmen als wichtige Einrichtungen.
Risikomanagement-Pflichten
Artikel 21 der NIS-2-Richtlinie definiert zehn konkrete Risikomanagement-Maßnahmen, die alle betroffenen Unternehmen implementieren müssen:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs (Backup-Management, Notfallwiederherstellung, Krisenmanagement)
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Konzepte zur Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen
- Grundlegende Verfahren der Cyberhygiene und Schulungen
- Konzepte für den Einsatz von Kryptographie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Anlagenmanagement
- Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung
Meldepflichten
Die NIS-2-Richtlinie führt ein gestuftes Meldesystem für erhebliche Sicherheitsvorfälle ein. Ein Sicherheitsvorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen verursacht oder verursachen kann, oder wenn er finanzielle Verluste für die betroffene Einrichtung verursacht oder verursachen kann. Die Meldekaskade:
- Frühwarnung innerhalb von 24 Stunden: Erste Meldung an das BSI mit den Basisinformationen zum Vorfall
- Detaillierte Meldung innerhalb von 72 Stunden: Aktualisierte Bewertung des Vorfalls einschließlich Schwere und Auswirkungen
- Abschlussbericht innerhalb eines Monats: Detaillierte Beschreibung des Vorfalls, der Ursachen, der Maßnahmen und der grenzüberschreitenden Auswirkungen
Aufsicht und Sanktionen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird zur zentralen Aufsichtsbehörde. Es erhält weitreichende Befugnisse: Audits, Inspektionen, Aufforderungen zur Nachbesserung und Anordnungen. Die Bußgelder sind empfindlich: Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Neu ist auch die persönliche Haftung der Geschäftsleitung — Geschäftsführer können für die Nichtumsetzung der Risikomanagement-Maßnahmen persönlich haftbar gemacht werden.
Anforderungen im Überblick
- Betroffenheitsprüfung: Selbstbewertung, ob das Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist
- Registrierung beim BSI: Meldung als betroffene Einrichtung innerhalb der vorgegebenen Fristen
- Risikomanagement: Implementierung aller zehn vorgeschriebenen Risikomanagement-Maßnahmen
- Supply Chain Security: Bewertung und Steuerung von Cybersicherheitsrisiken in der gesamten Lieferkette
- Incident Response: Etablierung eines Prozesses zur Erkennung, Bewertung, Behandlung und Meldung von Sicherheitsvorfällen
- Meldepflichten: Fähigkeit zur fristgerechten Meldung erheblicher Sicherheitsvorfälle (24h/72h/1 Monat)
- Business Continuity: Notfall- und Wiederherstellungspläne für den Ausfall kritischer IT-Systeme
- Schulung der Geschäftsleitung: Die Geschäftsführung muss an Cybersicherheitsschulungen teilnehmen und das Risikomanagement billigen
- Cyberhygiene: Grundlegende Sicherheitsmaßnahmen für alle Mitarbeiter (Updates, Passwörter, MFA)
- Verschlüsselung: Konzepte für den Einsatz von Kryptographie zum Schutz sensibler Daten
- Zugriffskontrolle: Rollenbasierte Zugriffssteuerung und Identitätsmanagement
- Dokumentation: Nachweis der Umsetzung aller Maßnahmen gegenüber dem BSI
Was wir für Sie tun
NovoCert verbindet Managementsystem-Expertise mit praxisnaher Cybersicherheitsberatung. Wir verstehen die besonderen Herausforderungen von Unternehmen in Energietechnik und Industrieservice — wo IT und OT zusammenwachsen.
- Betroffenheitsprüfung: Wir analysieren Ihre Unternehmensdaten gegen die NIS-2-Kriterien und stellen fest, ob und in welcher Kategorie Sie betroffen sind. Dabei berücksichtigen wir auch Konzernverflechtungen und Lieferkettenbeziehungen.
- Gap-Analyse gegen NIS-2: Wir bewerten Ihren aktuellen Sicherheitsstatus gegen alle zehn Risikomanagement-Maßnahmen und identifizieren Handlungsbedarf. Ergebnis ist eine priorisierte Roadmap.
- Risikomanagement-Aufbau: Wir implementieren einen systematischen Risikomanagement-Prozess, der die NIS-2-Anforderungen erfüllt — idealerweise integriert in ein ISMS nach ISO 27001.
- Meldeprozess und Incident Response: Wir etablieren einen dokumentierten Incident-Response-Prozess, der die 24h/72h-Meldepflichten sicherstellt — einschließlich Eskalationswegen, Meldformularen und Übungen.
- Lieferkettenmanagement: Wir unterstützen Sie bei der Bewertung und vertraglichen Absicherung Ihrer Lieferanten hinsichtlich Cybersicherheit.
- Schulung der Geschäftsleitung: Wir führen die geforderten Cybersicherheitsschulungen für Ihre Geschäftsführung durch — praxisnah, auf den Punkt und mit konkreten Handlungsempfehlungen.
- BSI-Registrierung: Wir begleiten die Registrierung beim BSI und stellen sicher, dass alle Formalien erfüllt sind.
Integration mit anderen Standards
NIS-2 existiert nicht im luftleeren Raum. Die kluge Integration mit bestehenden Managementsystemen spart Aufwand und schafft Synergien.
ISO 27001 — Informationssicherheits-Managementsystem: Ein zertifiziertes ISMS nach ISO 27001 deckt den Großteil der NIS-2-Risikomanagement-Anforderungen ab. Die zehn Maßnahmen des Artikels 21 finden sich in den 93 Controls des Anhang A wieder. Allerdings geht NIS-2 in einigen Punkten über die ISO 27001 hinaus — insbesondere bei Meldepflichten, Supply Chain Security und der Haftung der Geschäftsleitung. Wir empfehlen die ISO 27001 als Implementierungsrahmen für NIS-2 und ergänzen die NIS-2-spezifischen Anforderungen modular.
ISO 27701 — Datenschutz-Informationsmanagement: Cybersicherheitsvorfälle betreffen häufig auch personenbezogene Daten. Die ISO 27701 ergänzt das ISMS um ein Datenschutz-Managementsystem und stellt die Verbindung zur DSGVO-Meldepflicht (72 Stunden an die Datenschutzbehörde) her. Wer beide Systeme integriert betreibt, hat ein durchgängiges Meldewesen für Cyber- und Datenschutzvorfälle.
IMS-Integration: Über die Management-Review und das interne Audit-Programm lässt sich die NIS-2-Compliance in ein bestehendes Integriertes Managementsystem mit ISO 9001, ISO 14001 und ISO 45001 einbinden. Die Geschäftsleitungsverantwortung, die NIS-2 fordert, entspricht dem Leadership-Kapitel der HLS-basierten Normen.
Häufige Fragen zu NIS-2
Wann tritt NIS-2 in Deutschland in Kraft?
Die EU-Richtlinie musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Deutschland hat diese Frist nicht eingehalten. Das NIS2UmsuCG befindet sich im Gesetzgebungsverfahren und wird voraussichtlich 2025/2026 in Kraft treten. Unternehmen sollten die Umsetzung jedoch nicht aufschieben — die Anforderungen stehen fest, und die Implementierung dauert typischerweise 9 bis 18 Monate.
Bin ich von NIS-2 betroffen?
Die Betroffenheit hängt von zwei Faktoren ab: Sektor und Größe. Wenn Ihr Unternehmen in einem der 18 regulierten Sektoren tätig ist und mindestens 50 Mitarbeiter oder 10 Mio. Euro Jahresumsatz hat, sind Sie sehr wahrscheinlich betroffen. Für Unternehmen in Energietechnik und Anlagenbau ist die Einstufung unter "Energie" oder "Verarbeitendes Gewerbe" besonders relevant. Achtung: Auch kleinere Unternehmen können betroffen sein, wenn sie als einziger Anbieter einer kritischen Dienstleistung fungieren oder Teile kritischer Lieferketten sind.
Was droht bei Nichteinhaltung?
Die Sanktionen sind erheblich: Für wesentliche Einrichtungen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 %. Darüber hinaus kann das BSI Audit-Anordnungen erlassen, Nachbesserungen verlangen und im Extremfall den Geschäftsführern die Ausübung ihrer Leitungsfunktion untersagen. Die persönliche Haftung der Geschäftsleitung ist eine echte Neuerung — Geschäftsführer können für Pflichtverletzungen mit ihrem Privatvermögen haftbar gemacht werden.
Reicht eine ISO 27001-Zertifizierung für NIS-2-Compliance?
Nein, eine ISO 27001-Zertifizierung allein reicht nicht aus, deckt aber einen Großteil der Anforderungen ab. Was die ISO 27001 nicht abdeckt: die spezifischen Meldepflichten (24h/72h), die BSI-Registrierung, die explizite Geschäftsleitungsverantwortung und bestimmte sektorspezifische Anforderungen. Wir empfehlen die ISO 27001 als Grundlage und ergänzen die NIS-2-spezifischen Elemente als Aufsatz.
Welche Rolle spielt die Lieferkette?
NIS-2 fordert erstmals explizit die Bewertung und Steuerung von Cybersicherheitsrisiken in der Lieferkette. Sie müssen die Sicherheitspraktiken Ihrer Lieferanten und Dienstleister bewerten und vertragliche Anforderungen festlegen. Für Unternehmen in Anlagenbau und Industrieservice bedeutet das: Auch Ihre Subunternehmer müssen grundlegende Cybersicherheitsstandards einhalten. Wir unterstützen Sie bei der Entwicklung eines Lieferanten-Sicherheitsmanagements.
Wie bereite ich mich am besten auf NIS-2 vor?
Unser empfohlener Fahrplan: (1) Betroffenheitsprüfung durchführen, (2) Gap-Analyse gegen die zehn Risikomanagement-Maßnahmen, (3) ISMS nach ISO 27001 aufbauen oder erweitern, (4) Meldeprozesse etablieren und testen, (5) Lieferkettenmanagement implementieren, (6) Geschäftsleitung schulen, (7) BSI-Registrierung vorbereiten. Beginnen Sie jetzt — die Implementierung dauert erfahrungsgemäß 9 bis 18 Monate.
Referenzen
Unsere Cybersicherheits-Kompetenz ist in der Industrie verankert:
- Altrad Group (42.000 Mitarbeiter weltweit): Beratung zur NIS-2-Betroffenheit und ISMS-Integration für europäische Standorte im Energiesektor
- ETABO Energietechnik und Anlagenservice GmbH / PSS Group (1.200 Mitarbeiter): NIS-2-Vorbereitung als Unternehmen im Energiesektor — integriert in das IMS "Mission Zero"
- IAB Group: Cybersicherheitsberatung für Industriemontage auf kritischen Infrastrukturen mit OT-Fokus
- Industrieservice Peeters GmbH: NIS-2-Betroffenheitsanalyse und Aufbau des Incident-Response-Prozesses
Unsere Zahlen
| Kennzahl | Wert |
|---|---|
| Betreute Kunden | 559 |
| Erstellte Gefährdungsbeurteilungen | 967 |
| Compliance-Quote im Erstaudit | 97,9 % |
| Betreute Normen und Standards | 17 |
| KI-gestützte Compliance-Agenten | 9 |
| Standorte | 4 (Troisdorf, Wesseling, Ludwigshafen, Hagen) |
Jetzt NIS-2-Beratung anfragen
Die Uhr tickt. Sichern Sie sich jetzt einen Vorsprung bei der NIS-2-Umsetzung. Wir bieten Ihnen ein kostenloses Erstgespräch mit Betroffenheitscheck und Fahrplan-Empfehlung.
NovoCert by WS Anlagentechnik GmbH Königsberger Str. 23 | 53840 Troisdorf Tel: +49 152 57877899 E-Mail: Consulting@ws-anlagentechnik.de
Standorte für Vor-Ort-Beratung: - Troisdorf (Zentrale) - Wesseling (Chemiepark-Region) - Ludwigshafen (SIEGEL Akademie) - Hagen (SE Bildung)
NIS-2 ist keine IT-Aufgabe — es ist Chefsache. Wir machen Sie compliant.
Verwandte Themen: ISO 27001 — Informationssicherheit | ISO 27701 — Datenschutz-Informationsmanagement | ISO 37301 — Compliance Management